挂钩API技术(HOOK API)
Hook api 是指截获特定进程或系统对某个API函数的调用,使得API的执行流程转向指定的代码。例如,在挂钩了系统对user32.dll模块中MessageBoxA函数的调用以后,每当有应用程序调用MessageBoxA函数,调用线程都会执行提供的代码,而不去执行真正的MessageBoxA api函数。
Windows 下的应用程序都建立在API函数之上,所以截获API是一项相当有用的技术,它使得用户有机会干预其他应用程序的程序流程。
最常用的一种挂钩API的方法是改变目标进程中调用API函数的代码,使得它们对API的调用变为对用户自定义函数的调用。本节主要介绍这种HOOK API的方法。
Hook api 是指截获特定进程或系统对某个API函数的调用,使得API的执行流程转向指定的代码。例如,在挂钩了系统对user32.dll模块中MessageBoxA函数的调用以后,每当有应用程序调用MessageBoxA函数,调用线程都会执行提供的代码,而不去执行真正的MessageBoxA api函数。
Windows 下的应用程序都建立在API函数之上,所以截获API是一项相当有用的技术,它使得用户有机会干预其他应用程序的程序流程。
最常用的一种挂钩API的方法是改变目标进程中调用API函数的代码,使得它们对API的调用变为对用户自定义函数的调用。本节主要介绍这种HOOK API的方法。
实现原理
Windows 下应用程序有自己的地址空间,它们只能调用自己地址空间中的函数,所以在挂钩API之前,必须将一个可以代替API执行的函数的执行代码注入到目标进程,然后再想办法将目标进程对该API的调用改为对注入到目标进程中自定义函数的调用。一般称这个自定义函数为代理函数。在代理函数中,可以去调用原来的API,也可以做其他事情。
可见,注入代码到目标进程是实现截拦API很重要的一步。比较简单的方法是把要注入的代码写到DLL中,然后让目标进程加载这个DLL。这就是所谓的DLL注入技术。一旦程序代码进入了另一个进程的地址空间,就可以毫无限制地做任何事情。
在这个要被注入到目标进程的DLL中写一个与感兴趣的API函数的签名完全相同的函数(代理函数),当DLL执行初始化代码的时候,把目标进程对这个API的调用全部改为对代理函数的调用,即可实现截拦API函数。
还可以趁着DLL在目标进程中初始化的机会去创建新的线程。这个时候创建的线程运行在目标进程的地址空间中,所以它对目标进程有着完全的访问权限。例如,可以将它视为守护线程,在接收到通知时,访问目标进程中的资源,也可以通过这种方式隐藏自已,创建没有“进程”的线程。